REKLAMA
REKLAMA

Akademia inwestycyjna

Post-RODO

Jakie największe ryzyka przyniosło RODO dla spółek giełdowych?
Foto: materiały prasowe

Największym ryzykiem dla spółek giełdowych (i nie tylko) są wszelkie ryzyka finansowe związane z potencjalną karą administracyjną oraz roszczeniami cywilnymi osób, które dochodzić mogą swoich praw bezpośrednio w sądzie. Mityczna wręcz wysokość kar sięgających 20 mln euro lub 4 proc. światowego obrotu przedsiębiorstwa działa na wyobraźnię i jest z pewnością jednym z elementów branych pod uwagę przez analityków.

Wydaje się, że problematyka przetwarzania danych osobowych i spełnienie wymogów RODO weszły do panteonu codziennej problematyki nie tylko w badaniach due diligence, ale również w zakresie reputacyjnym.

Spółki giełdowe w większości przypadków są ogromnymi przedsiębiorstwami, posiadającymi setki procesów biznesowych i przetwarzającymi duże wolumeny danych osobowych. Narzędziami w takim biznesie są dziesiątki systemów informatycznych, ekosystem dostawców, podwykonawców i kontrahentów przetwarzających dane w roli procesora. Cała powyższa infrastruktura i często skomplikowane relacje niosą ze sobą szereg ryzyk, którymi zarządzanie wymaga nie lada wysiłku, zasobów ludzkich, sprawnej organizacji i skutecznych mechanizmów IT.

Ryzykiem jest incydent bezpieczeństwa, którego konsekwencją może być kara, a wyzwaniem zapewnienie bezpieczeństwa przetwarzania danych osobowych.

Jaka jest obecna skala kontroli prowadzonych przez UODO?

Nie ma obecnie opublikowanych aktualnych statystyk związanych z prowadzonymi kontrolami w zakresie ochrony danych osobowych. Jednakże analizując zainteresowanie problematyką i liczbę skarg osób, których dane są przetwarzane (zgodnie z informacją z 28 stycznia br. przekazaną przez prezesa Urzędu Ochrony Danych Osobowych od 25 maja 2018 do dnia publikacji informacji urząd otrzymał ponad 10 tys. skarg, pytań i zgłoszeń dotyczących ochrony danych oraz 2,4 tys. samodzielnych zgłoszeń administratorów) oraz biorąc pod uwagę plan kontroli sektorowych na 2019 r., mam poczucie, że liczba kontroli zdecydowanie wzrosła, porównując dane z latami ubiegłymi.

Ponadto sam Urząd Ochrony Danych Osobowych rośnie w siłę. Mając nowe kompetencje i narzędzia, prowadzi szeroką rekrutację kadr i zatrudnia znacznie więcej specjalistów niż przed wejściem w życie RODO.

Zmienił się również charakter kontroli. W chwili obecnej zasadniczego znaczenia nabiera udowodnienie i udokumentowanie realizacji wymogów RODO, a nie proceduralne aspekty budowy systemu bezpieczeństwa. Z osobistych doświadczeń wynika, iż kontrole RODO wzbudzają bardzo duże emocje i stanowią znaczne ryzyko dla administratora danych osobowych.

Na dzień dzisiejszy prezes UODO nałożył na administratorów dwie kary finansowe na kwoty 1 miliona złotych oraz 55 tys. złotych.

Jakie działania związane z zarządzaniem danych spółka powinna podejmować cyklicznie, aby firma była w zgodzie z RODO?

Wdrożenie wymagań RODO w wielu firmach niestety przyjęło formę jednorazowego projektu, polegającego na opracowaniu pakietu dokumentacji wewnętrznych, negocjacjach umów powierzenia przetwarzania danych, rozesłaniu obowiązków informacyjnych i podstawowych szkoleniach. Powołani przez spółki inspektorzy ochrony danych czy dedykowane zespoły ds. bezpieczeństwa często nie zostały wyposażone w niezbędne narzędzia czy budżety na pełne wdrożenie RODO, zwłaszcza nowych funkcjonalności w systemach IT. Ciężko przypisać takiemu zachowaniu status wdrożenia wymogów rozporządzenia i podniesienia poziomu bezpieczeństwa przetwarzanych danych osobowych.

Dopiero przyjęcie, że bezpieczeństwo przetwarzania danych osobowych jest procesem ciągłym i stałym, realnie wpływa na minimalizację zagrożeń. Poniżej przedstawiamy pięć najważniejszych z praktycznego punktu widzenia działań, które nazywamy post-RODO i które powinny być realizowane przez każdego administratora danych osobowych.

ANALIZA RYZYKA – CIĄGŁA

Oparcie bezpieczeństwa na analizie ryzyka znane jest od lat nie tylko w świecie IT, jest również fundamentem norm ISO odnoszących się do bezpieczeństwa informacji. Zgodnie z RODO zanim dobierzemy środki organizacyjne i techniczne służące zapewnieniu bezpieczeństwa przetwarzania danych, powinniśmy przeanalizować ryzyko i wyciągnąć z tego procesu praktyczne wnioski. Szacowanie ryzyka uwzględniające szereg aspektów powinno być przeprowadzane na samym początku budowy koncepcji nowych produktów i usług (privacy by design, privacy by default).

POWAŻNE TRAKTOWANIE ZGŁOSZEŃ

Najpoważniejsze naruszenia dotyczą m.in. warunków zgody na przetwarzanie danych osobowych oraz realizacji praw osób, których dane dotyczą (uprawnień i żądań osób fizycznych). W celu zapewnienia bezpieczeństwa organizacji należy skrupulatnie monitorować i reagować na każde zgłoszenie nieprawidłowości związanych z przetwarzaniem danych osobowych.

WEWNĘTRZNE AUDYTY W ORGANIZACJI

Niezbędnym krokiem jest także przeprowadzenie audytu wewnętrznego organizacji mającego na celu ocenę faktycznego poziomu bezpieczeństwa i prawidłowości przetwarzania danych. Taki audyt powinien mieć charakter praktyczny, a nie jedynie formalny.

Przykładem mogą być tutaj audyty systemów IT pod kątem rozliczalności – nie poprzestajemy tylko na oświadczeniu administratora systemu, lecz prowadzimy oględziny, prosimy o dokumentację modyfikacji czy też test polityki haseł.

Treść rozporządzenia pozwala nam zidentyfikować blisko 90 rodzajów naruszeń, które mogą mieć dla nas wyjątkowo trudne do oszacowania skutki i konsekwencje sięgające nawet 20 milionów euro. Rekomendujemy opracowanie takiej check-listy i systematyczne kontrolowanie według tego klucza poszczególnych obszarów przetwarzania danych osobowych.

AUDYT U PROCESORA

Administrator danych, nawet w sytuacji powierzenia danych do przetwarzania podmiotom trzecim (partnerom biznesowym lub podwykonawcom), nie jest zwolniony z odpowiedzialności w przypadku ewentualnych naruszeń. Powinien się zatem upewnić, że procesor danych dysponuje wystarczającymi gwarancjami wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Jedną z tego typu praktyk jest wymóg oświadczenia od procesora o spełnieniu wymogów RODO. Art. 28 RODO wskazuje także obowiązek zawarcia w umowie z partnerem biznesowym lub podwykonawcą możliwości przeprowadzenia audytu i inspekcji u procesora.

Aby prawidłowo przeprowadzić audyt u procesora, należy zrealizować szereg konkretnych czynności kontrolnych, wymagających doświadczenia w ich prowadzeniu. Ważne jest, aby audyty odbywały się cyklicznie, gdyż jednorazowa kontrola nie zapewni przedsiębiorstwom ochrony przed karami umownymi (w Polsce sięgają one nawet kilkuset tysięcy złotych za każdy przypadek naruszenia).

Istotną kwestią jest także sprawdzenie, czy procesor powierzył dane kolejnym subprocesorom zgodnie z obowiązującymi w tym zakresie normami.

SZKOLENIA PRACOWNIKÓW

Każdy administrator danych osobowych powinien odpowiednio przeszkolić personel oraz osoby współpracujące z zasad przetwarzania danych osobowych oraz uczulić osoby szkolone na zagrożenia i ryzyka z tym związane. Systematyczne podnoszenie świadomości w tym zakresie ogranicza ryzyko prawne. Zapewnienie w firmie cyklu praktycznych warsztatów, szczególnie po roku funkcjonowania RODO, powinno stanowić równie ważny aspekt polityki zgodności z RODO, gdyż to najczęściej człowiek stanowi najsłabsze ogniwo systemów bezpieczeństwa w organizacjach.

Maciej Mackiewicz adwokat, partner, szef praktyki technologie, ochrona danych i forensic Kochański i Partnerzy

Powiązane artykuły

REKLAMA
REKLAMA

Wideo komentarz

REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA